Erkennung von Raspberry Robin Malware: Neue Verbindungen enthüllt

Ende Juli veröffentlichten Microsoft-Forscher neue Beweise, die den Raspberry Robin Windows Wurm mit der Aktivität der russisch unterstützten Evil Corp Gang in Verbindung bringen. Raspberry Robin, ein USB-basierter Wurm, der als Malware-Loader entwickelt wurde, zeigt ähnliche Funktionalität und strukturelle Elemente wie bei Dridex-Malware, was darauf hindeutet, dass die berüchtigte Evil Corp Gruppe hinter der neuen Angriffswelle stecken könnte.

Im Jahr 2019 sanktionierte das US-Finanzministerium diese produktive Cyberkriminellen-Organisation aufgrund von Dridex-Malware-Angriffen, die Schäden in Höhe von über 100 Millionen Dollar verursachten.

Raspberry Robin Malware-Erkennung

Um proaktiv gegen eine Raspberry Robin-Infektion zu verteidigen, veröffentlichten SOC Prime-Experten kontext-angereicherte Sigma-Regeln:

Sigma-Regeln zur Erkennung der bösartigen Präsenz von Raspberry Robin Malware.

Die Regeln sind mit dem MITRE ATT&CK® Framework v.10 abgestimmt und kompatibel mit 26 SIEM-, EDR- und XDR-Lösungen, die von der SOC Prime-Plattform unterstützt werden.

SOC-Profis, die sich über die neuesten Trends informieren möchten, die die aktuelle Cyber-Bedrohungslandschaft prägen, können von der Nutzung der branchenweit ersten Cyber Threats Search Engine von SOC Prime profitieren. Drücken Sie die Explore Threat Context Schaltfläche, um sofort durch den Pool von Erkennungsalgorithmen zu navigieren, die mit ATT&CK-Mapping angereichert sind, und Ihre proaktive Bedrohungsjagd zu verbessern.

Erkundung von Erkennungen  

Raspberry Robin Malware-Analyse

In der Offenlegung vom 26. Juli 2022 offenbart der Technologieriese, dass die Anzahl der beobachteten Infektionen in freier Wildbahn Millionen von Angriffen erreicht hat, die bis vor kurzem keine klaren Nachausbeutungsziele hatten. Seit dieser Aktivitätscluster im September 2021 von Red Canary detailliert beschrieben wurde, behielt Raspberry Robin, auch bekannt unter dem Namen QNAP Worm (für den anfänglichen Missbrauch von QNAP-Geräten), seine Tricks in der Hinterhand. Letzten Monat entdeckten Sicherheitsforscher die Infektionen, die FAKEUPDATES-Malware, auch bekannt als SocGholish, verbreiten, und die Angriffe mit DEV-0206 und DEV-0243 (alias Evil Corp) verbinden.

Der Infektionsprozess von Raspberry Robin beginnt mit der Kompromittierung eines Geräts mit einer bösartigen Microsoft-Verknüpfungsdatei (.LNK), die normalerweise über ein USB-Gerät geliefert wird. Wenn das Opfer die Datei öffnet, wird ein MSI-Installer von einer C2-Domain abgerufen und ausgeführt. Um sich in einem infizierten System zu verankern, erstellt die Malware einen Registrierungsschlüssel, der sicherstellt, dass dieselbe DLL nach jedem Start in rundll32.exe injiziert wird.

Erhöhen Sie Ihre Chancen, die Verweildauer zu verkürzen und die Gegner zu neutralisieren, bevor der Schaden entsteht, indem Sie innovative Werkzeuge und Lösungen nutzen, die von einem Team engagierter Fachleute von SOC Primebereitgestellt werden. Registrieren Sie sich für kommende Online-Veranstaltungen und sehen Sie sich eine umfangreiche Sammlung von Schulungsmaterialien im Cyber-Bibliothek.